Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Contrats   Brevet   Conférences et colloques   Contenu illicite   Vie privée   Au jour le jour   Noms de domaine   Régulation   Professions   Signes distinctifs   Lettre du Cejem   Droit d’auteur   Consommateurs   Bases de données   Marques  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Les données personnelles dans les transports aériens vers les Etats-Unis

Mots-clefs : Vie privée |

par Kevin kheyari, le mardi 6 mars 2007

Dans le cadre de la lutte anti-terroriste de l’après 11-septembre, les Etats-Unis ont adopté, outre le tristement célèbre « Patriot Act » du 26 octobre 2001 [1], une série de dispositions législatives et règlementaires [2] destinées à contraindre tout transporteur aérien assurant des liaisons à destination, au départ ou transitant par le territoire des Etats-Unis de fournir au service des douanes et de la protection des frontières (CBP) [3] du ministère américain de la sécurité intérieure (DHS) [4] un accès électronique direct aux données relatives aux passagers (PNR : « Passenger Name Records »).

Le PNR est le nom générique donné aux fichiers (dossiers) constitués et stockés par les compagnies aériennes dans leurs systèmes informatiques de contrôle des réservations et des départs devant contenir, selon les mesures américaines, au minimum trente-quatre éléments d’information [5].

Les Etats-Unis considèrent que l’ensemble de ces données à caractère personnel servira concrètement à identifier d’éventuels terroristes ou individus représentant une menace pour la sécurité nationale avant leur entrée sur le territoire américain et ne devra, être utilisé, par conséquent, que dans le but unique de prévenir et de combattre le terrorisme et les crimes liés au terrorisme.

La non transmission de ces informations ou la transmission d’informations erronées ou incomplètes expose, en pratique, les compagnies aériennes à de lourdes sanctions pécuniaires (4700 euros par passager) et au risque d’une interdiction d’atterrir sur le territoire américain [6].

Cette exigence américaine a rencontré en Europe des réactions divergentes selon les différentes institutions européennes (I) et a finalement abouti à la conclusion d’un accord international temporaire entre l’Union européenne et les Etats-Unis (II).

I/ Les réactions divergentes des différentes institutions européennes

En Europe, la question est de savoir si le transfert des données PNR vers les Etats-Unis, pays tiers à l’Union européenne, présente une compatibilité avec la législation européenne. Les réponses sont différentes du point de vue de la Commission européenne [7] et du Conseil de l’Union européenne [8] (A) ou du point de vue du Parlement européen [9] (B).

A/ La création d’un montage juridique favorable au transfert des données PNR : l’œuvre de la Commission européenne et du Conseil de l’Union européenne

1/ La décision d’adéquation de la Commission européenne fondée sur une déclaration d’engagement américaine (les « Undertankings » américains)

Estimant que la législation américaine risquait d’entrer en conflit avec l’article 25 de la directive européenne du 24 octobre 1995 [10] relative à la protection des données à caractère personnel imposant un niveau de protection adéquat au traitement de données personnelles transférées vers les pays tiers à l’Union européenne [11], la Commission a décidé d’adopter le 14 mai 2004 une décision dite d’adéquation constatant que les données PNR transférées aux Etats-Unis bénéficiaient d’un tel niveau de protection [12].

En contrepartie de ce surprenant constat, les Etats-Unis acceptèrent d’accorder, dans une déclaration d’engagement du 11 mai 2004 [13], de faibles garanties [14].

Nous pouvons à cet égard nous interroger sur la valeur juridique contraignante des « Undertankings » américains (ressemblant très fortement à de simples engagements formels) qui indiquent, de façon contradictoire avec l’essence même de ce que doit constituer juridiquement un engagement, que cette déclaration « ne crée ni ne confère aucun droit ni aucun avantage pour toute personne ou partie, privée ou publique » et « ne constitue aucun précédent pour toute discussion ultérieure avec la Commission, l’Union européenne, toute organisation apparentée ou tout Etats tiers » [15] !

En outre, il convient de constater l’absence totale de réciprocité de l’obligation européenne de transférer les données PNR vers les Etats-Unis lesquels se sont seulement engagés à mettre en place, « dès que possible », un transfert analogue et à « encourager les compagnies aériennes établies aux Etats-Unis à coopérer » [16] !

2/ La décision du Conseil de l’Union européenne portant conclusion d’un accord « léger » international entre la Communauté européenne et les Etats-Unis

Dans le prolongement de la décision d’adéquation de la Commission, le Conseil a adopté le 17 mai 2004, sur simple consultation du Parlement, une décision [17] approuvant la conclusion d’un accord international [18] entre la Communauté européenne et les Etats-Unis (accord signé le 28 mai 2004), autorisant le CBP à accéder directement par voie électronique aux données PNR provenant des systèmes de contrôle de réservations et de départs des transporteurs aériens établis sur le territoire des Etats membres de l’Union européenne.

B/ Le Parlement européen et le groupe européen de protection des données personnelles (« Groupe 29 ») : les acteurs de la contestation

Le Parlement et le « Groupe 29 » [19] ont rendu de nombreux avis dans lesquels ils soulignent clairement leur désaccord à l’égard des dispositions prises par la Commission et le Conseil et expriment notamment des doutes sur :

- Le niveau de protection des données PNR garanti par les engagements américains : limiter le transfert de ces données au seul CBP, savoir ce que deviennent ces données une fois collectées et archivées (sont-elles transmises à d’autres autorités ou organes nationaux ou étrangers ?), comment ces données sont détenues et stockées, avec quels moyens de sécurisation, sous quelles modalités elles sont transmises et avec quels autres renseignements elles sont croisées [20].
- La quantité et la qualité des données PNR transférées : réduire la liste des catégories des données PNR transférées, ne pas transférer de données sensibles, réduire la durée de conservation, respecter le principe de finalité du transfert des données PNR qui doit être limité au but unique de prévenir et combattre le terrorisme et « d’autres crimes graves » (notion qui reste, par ailleurs, trop floue), respecter le principe de proportionnalité.
- Les droits des passagers : nécessité du droit d’être informé du transfert et du traitement des données PNR les concernant, du droit d’accéder à ces données, du droit de demander leur rectification notamment en cas d’erreur et du droit de s’adresser, en cas de contestation ou de plainte, à un organe de contrôle ou de recours indépendant et efficace.
- Le système de transfert des données PNR : remplacer l’actuel système de transfert « pull », permettant aux autorités américaines d’extraire directement par voie électronique ces données des centrales de réservations des compagnies aériennes européennes, par un système « push » qui permettrait aux compagnies aériennes, elles-mêmes, de collecter, de sélectionner et de transmettre aux CBP les données PNR ainsi filtrées, de façon à éviter l’exercice par les autorités américaines d’un pouvoir souverain sur le territoire de l’Union européenne (en dehors de tout accord international valable).

II/ La conclusion d’un nouvel accord international entre l’Union européenne et les Etats-Unis

A la demande du Parlement, la Cour de justice des communautés européennes (la CJCE) a accepté d’annuler les décisions de la Commission et du Conseil (A) provocant la conclusion d’un nouvel accord entre l’Union européenne et les Etats-Unis (B).

A/ L’arrêt réservé de la CJCE du 30 mai 2006

Le Parlement a exercé devant la CJCE un recours en annulation [21] contre la décision d’adéquation de la Commission du 14 mai 2004 [22] et contre la décision du Conseil du 17 mai 2004 portant conclusion de l’accord PNR [23].

Les demandes du Parlement s’organisent autour d’arguments de procédure (instruments d’adoption et de négociation communautaires inappropriés), de compétence (incompétence de la Commission et du Conseil) et de fond (absence de base juridique des décisions).

Toutefois, dans son arrêt du 30 mai 2006 [24], la CJCE n’a pas estimé nécessaire d’examiner tous les moyens invoqués par le Parlement et s’est contentée uniquement de répondre au seul argument de compétence écartant ainsi les questions de fond pourtant importantes (comme la violation des droits fondamentaux).

1/ Le recours contre la décision d’adéquation de la Commission européenne [25]

Le Parlement soutient que la Commission n’est pas compétente pour adopter valablement la décision d’adéquation sur le fondement de la directive européenne relative à la protection des données personnelles.

La CJCE rappelle que l’article 3, paragraphe 2 [26], de cette directive exclut de son champ d’application les traitements des données personnelles ayant pour objet la sécurité publique, la défense, la sûreté de l’Etat et les activités de l’Etat relatives à des domaines du droit pénal et considère que si les données PNR sont initialement collectées et transférées par les compagnies aériennes dans le cadre d’une activité commerciale relevant du droit communautaire, à savoir la vente d’un billet d’avion qui donne droit à une prestation de services, leur traitement par les autorités américaines a pour seule finalité la sauvegarde de la sécurité publique des Etats-Unis (« de prévenir et de combattre le terrorisme »), un domaine qui reste incontestablement étranger à la sphère économique.

La CJCE conclut, donc, à l’annulation de la décision d’adéquation de la Commission en ce qu’elle ne relève pas du champ d’application de la directive européenne [27].

2/ Le recours contre la décision du Conseil de l’Union européenne portant conclusion de l’accord PNR [28]

Le Parlement considère que l’article 95 du traité CE [29] relatif à l’harmonisation des législations nationales nécessaire au fonctionnement du marché commun ne constitue pas une base juridique appropriée pour la décision du Conseil dans la mesure où cette décision a pour seul objectif de légaliser le transfert de données PNR imposé par la législation américaine qui de surcroît vise un traitement exclu du champ d’application de la directive européenne.

La CJCE constate également, mais peut-être de façon trop sommaire, que « l’article 95 TCE, lu à la lumière de l’article 25 de la directive européenne », n’est en effet pas susceptible de fonder la compétence de la Communauté européenne pour conclure l’accord PNR.

Nous pouvons néanmoins regretter que la CJCE n’ait pas appliqué directement les dispositions de l’article 95 TCE en recherchant, comme elle l’avait fait pour la décision d’adéquation de la Commission, si l’objectif principal de l’accord avait réellement un lien avec le fonctionnement du marché commun.

Cette démarche aurait permis de répondre plus précisément aux arguments soutenus par le Conseil qui estimait que l’accord visait également à supprimer toute distorsion de concurrence entre les Compagnies aériennes membres de l’Union européenne et entre celles-ci et les compagnies aériennes des Etats tiers, pouvant résulter indirectement du non respect des obligations afférentes à la législation américaine : le refus d’accès aux bases de données PNR entraînent des sanctions pécuniaires et des interdictions d’atterrir qui affectent l’activité économique des compagnies aériennes européennes et faussent leurs positions concurrentielles sur le marché.

Il semble pourtant s’agir de transferts forcés et unilatéraux de données PNR européennes de nature commerciale utilisées à des fins, exclusivement, sécuritaires sans lien direct avec le fonctionnement du marché intérieur.

Nonobstant l’annulation de ces deux décisions, la CJCE a néanmoins décidé, de sa propre autorité, « pour des raisons de sécurité juridique et afin de protéger les personnes concernées », de maintenir leurs effets jusqu’au 30 septembre 2006.

B/ Un nouvel accord entre l’Union européenne et les Etats-Unis

1/ Un accord « provisoire »

Un nouvel accord [30] a finalement été, rapidement et discrètement, signé le 16 octobre 2006 entre l’Union européenne et les Etats-Unis mettant ainsi un terme au vide juridique qui existait depuis le 1er octobre 2006. Il reste, toutefois, appliqué à titre provisoire depuis sa signature « jusqu’à la date d’application de tout autre accord qui le remplacerait au plus tard le 31 juillet 2007 ».

Si ce nouvel accord reconduit, dans son contenu, les principales dispositions de l’accord PNR initial du 28 mai 2004 [31] les négociateurs européens ont du faire à nouveau d’importantes concessions autorisant en particulier le ministère américain de la sécurité intérieure à transmettre les données PNR à toutes les agences gouvernementales américaines en charge de la lutte contre le terrorisme [32].

2/ la lettre annexe d’interprétation

La particularité de cet accord réside dans le fait qu’il est assorti en annexe d’une lettre officielle d’interprétation [33] du ministère américain de la sécurité intérieure définissant unilatéralement et plus souplement le contenu des engagements américains du 11 mai 2004 auxquels renvoie l’accord.

Cette lettre permet ainsi aux autorités américaines d’accéder à un plus grand nombre de données PNR, même à certaines dites sensibles [34], et à les conserver au-delà du délai conventionnel de trois ans et demi.

CONCLUSION

Si ce nouvel accord reste certes critiquable il présente néanmoins le modeste avantage de limiter la multiplication d’accords bilatéraux entre les Etats-Unis et certains Etats européens qui, sous couvert de la lutte contre le terrorisme, risqueraient d’offrir au traitement des données PNR un cadre juridique dépourvu de tout contrôle [35].

Nous constatons également que l’affaiblissement de la capacité de négociation au plan international des institutions européennes peut résulter de l’actuelle structure en piliers de l’Union européenne qui risque à l’avenir de devenir une source de paralysie et d’inefficacité du régime juridique de protection des données personnelles consacré par la directive européenne du 24 octobre 1995 contenu dans le premier pilier [36].

En France, cette directive européenne a été transposée par une loi du 6 août 2004 dont on peut aujourd’hui se demander si elle reste adaptée à la mondialisation et notamment au transfert international des données à caractère personnel [37].

Kevin Kheyari

Notes

[1] Le 21 juillet 2005 les Etats-Unis ont prolongé l’application des mesures du Patriot Act initial (Public Law 107-56-OCT. 26, 2001), (www.whitehouse.gov)

[2] La loi du 19 novembre 2001 « Aviation and Transportation Security Act » relative à la sécurité du transport aérien (Public Law 107-71-NOV. 19, 2001), (www.tsa.gov). La loi du 14 mai 2002 « Enhanced Border Security and Visa Entry Reform Act » renforce les conditions d’entrée sur le territoire américain (Public Law 107-173-MAY. 14, 2001), (www.travel.state.gov). Un règlement du 25 juin 2002 « Passenger Name Record Information Requered for Passengers on Flights in Foreign Air Transportation to or from the United states » (U.S.Customs Service, Department of the Treasury 19 CFR Part 122, T.D. 02-33), (www.customs.gov)

[3] « Bureau of Customs and Border Protection » (www.cbp.gov)

[4] « Department of Homeland Security » (www.dhs.gov)

[5] La liste complète des données PNR est disponible sur le site de la CNIL (www.cnil.fr), notamment : nom du passager, résidence, coordonnées téléphoniques, adresse électronique, mode de paiement (numéro de carte de crédit, adresse de facturation, prix du billet), informations APIS (tels que le numéro du passeport, la date de naissance ou la nationalité), données OSI (zone de saisie libre : mention des demandes diverses exprimées par le passager, comme la fourniture d’une chaise roulante à l’arrivée), données SSI/SSR (demande de services spéciaux en fonction des préférences alimentaires, de l’état de santé ou de l’âge, par exemple : végétarien, diabétique, sans sel, sans porc, assistance médicale), observations générales (relatives à d’éventuels incidents survenus sur les vols précédents : altercations, abus d’alcool, etc.), statut du voyageur (classe économique, affaire, grand voyageur, miles parcourus), date de réservation du voyage, date prévue du voyage, date d’émission du billet, itinéraire complet du voyageur, passager sans réservation, passager répertorié comme défaillant (absent lors de l’embarquement malgré une réservation), agent et agence de voyage ayant vendu le billet, informations relatives au siège occupé (à gauche, à droite, à l’avant, à l’arrière de l’avion), historique des changements apporté dans le fichier PNR, etc.

[6] Depuis le 5 mars 2003 les compagnies aériennes sont tenues de mettre leurs fichiers PNR à disposition des autorités américaines soixante-douze heures avant le départ d’un vol

[7] Ci-après dénommée : « la Commission »

[8] Ci-après dénommé : « le Conseil »

[9] Ci-après dénommé : « le Parlement »

[10] La directive européenne 95/46/CE, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ci-après dénommée : « la directive européenne », (JOUE L281 du 23.11.1995), (www.eur-lex.europa.eu)

[11] L’article 25 de la directive européenne prévoit : « Les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat »

[12] La décision d’adéquation de la Commission européenne (2004/535/CE), du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers passagers PNR (JOUE L 235 du 6.7.2004), (www.eur-lex.europa.eu)

[13] La déclaration d’engagement américaine (« Undertankings »), du 11 mai 2004, du bureau des douanes et de la protection des frontières (CBP) annexée à la décision d’adéquation de la Commission européenne (JOUE L 235 du 6.7.2004), (www.eur-lex.europa.eu)

[14] Si le CBP accepte, en particulier, de réduire le nombre de données PNR transmises de 39 à 34 éléments d’information, il se considère toutefois comme étant le propriétaire des données PNR (point 31 de la déclaration). On peut alors envisager une utilisation juridique (comme élément de preuve dans un procès débouchant sur une condamnation à la peine de mort) et même commerciale de ces données ou supposer encore un possible transfert de ces informations hors des Etats-Unis (dans ce cas quel serait le pouvoir de suivi et de contrôle de l’Union européenne sur les données transmises ?)

[15] Les derniers points 47 et 48 de la déclaration d’engagement sont repris dans le nouvel accord PNR du 16.10.2006

[16] Le point 45 de la déclaration d’engagement est repris au point 5 du nouvel accord PNR du 16.10.2006

[17] La décision du Conseil de l’Union européenne (2004/496/CE), du 17 mai 2004, adoptée sur le fondement de l’article 300 §3 al.1 TCE, portant conclusion de l’accord entre la Communauté européenne et les Etats-Unis relatif au traitement et au transfert de données PNR par les transporteurs aériens au CBP (JOUE L235 du 6.7.2004), (www.eur-lex.europa.eu)

[18] Conclusion le 28 mai 2004 d’un accord entre la Communauté européenne et les Etats-Unis autorisant le transfert des données PNR européennes vers les autorités américaines (JOUE L183 du 20.5.2004), (www.europa.eu.int)

[19] Le groupe des commissaires nationaux en charge de la protection des données institué par l’article 29 de la directive européenne du 24 octobre 1995 est désigné par les termes « Groupe 29 » (www.ec.europa.eu/justice_hom...)

[20] Nous constatons dans les accords PNR du 28.05.2004 (point 4) et du 16.10.2006 (point 3) une référence systématique et inquiétante à la législation américaine : « Le DHS traite les données PNR reçues et les personnes concernées par ce traitement conformément aux lois et exigences constitutionnelles américaines ». Il n’existe pas aux Etats-Unis de cadre légal de portée générale relatif à l’ensemble des traitements de données personnelles, ni aucune agence nationale indépendante de contrôle. Une organisation américaine de défense des libertés civiles (Electronic Frontier Fondation) a porté plainte le 21 novembre 2006 contre le DHS afin d’obtenir plus de transparence sur l’utilisation des données PNR (www.eff.org)

[21] Les deux recours en annulation introduits le 27 juillet 2004 par le Parlement européen devant la CJCE contre la Commission européenne (affaire C-318/04) et contre le Conseil de l’Union européenne (affaire C-317/04), (JOUE C228 du 11.9. 2004), (www.eur-lex.europa.eu)

[22] Op. cit., n° 12

[23] Op. cit., n° 17

[24] L’arrêt de la CJCE du 30 mai 2006 (JOUE C178 du 29.07.2006), (www.eur-lex.europa.eu)

[25] Le Parlement européen invoque quatre moyens d’annulation tirés respectivement d’un excès de pouvoir, d’une violation des principes essentiels de la directive européenne du 24 octobre 1995, d’une violation des droits fondamentaux et d’une violation du principe de proportionnalité

[26] Aux termes de l’article 3, § 2 de la directive européenne : « La présente directive ne s’applique pas [...] aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’Etat (y compris le bien-être économique de l’Etat lorsque ces traitements sont liés à des questions de sûreté de l’Etat) et les activités de l’Etat relatives à des domaines du droit pénal, [...] »

[27] L’avocat général de la CJCE, Philippe Léger, a rendu le 22 novembre 2005 ses conclusions dans lesquelles il proposait également l’annulation, pour défaut de base juridique, de la décision d’adéquation de la Commission européenne du 14 mai 2004 et de la décision du Conseil de l’Union européenne approuvant l’accord entre l’Union européenne et les Etats-Unis du 17 mai 2004 (www.eur-lex.europa.eu)

[28] Le Parlement européen avance six moyens d’annulation tirés du choix erroné de l’article 95 TCE comme base juridique de la décision et de la violation, respectivement, de l’article 300, paragraphe 3, deuxième alinéa, TCE, de l’article 8 de la CEDH, du principe de proportionnalité, de l’exigence de motivation et du principe de coopération loyale

[29] L’article 95 TCE (Traité de Rome instituant la Communauté européenne) énonce : « Le Conseil [...] arrête les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des Etats membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur » (www.eur-lex.europa.eu)

[30] Conclusion le 16 octobre 2006 d’un nouvel accord entre l’Union européenne et les Etats-Unis relatif au traitement et au transfert des données des dossiers passagers (PNR) par les transporteurs aériens européens au ministère américain de la sécurité intérieure (JOUE L298 du 27.10.2006), (www.eur-lex.europa.eu).

[31] Le nouvel accord PNR conserve à nouveau le système « pull » d’extraction des données « jusqu’à ce qu’un système « push » techniquement satisfaisant (pour le DHS) soit mis en place par les compagnies aériennes » !

[32] Le destinataire des données PNR n’est plus uniquement le CBP mais « toutes autorités du gouvernement américain chargées de prévenir ou de combattre le terrorisme et les crimes liés au terrorisme » (tels que le FBI ou la CIA). De plus « l’Union européenne confirme qu’elle ne fera pas obstacle au transfert des données PNR entre le Canada et les Etats-Unis, et que le même principe s’appliquera à tout accord similaire concernant le traitement et le transfert de données PNR »

[33] La lettre du ministère américain de la sécurité intérieure (DHS) relative à l’interprétation d’un certain nombre de dispositions de la déclaration d’engagement, diffusée par le DHS le 11 mai 2004, sur le transfert des données PNR (JOUE C 259 du 27.10.2006), (www.eur-lex.europa.eu). Il est critiquable que de telles précisions soient apportées par un document dont la valeur juridique est incertaine

[34] Le transfert autorisé des données PNR relatives « aux maladies infectieuses et d’autres risques auxquels peuvent être exposés les passagers [...], aux maladies transmissibles dangereuses »

[35] « Pièces à conviction » n°55 du 22 déc. 2006 sur France 3 : « Terrorisme : les avions pour cible ». Pour visionner l’émission : www.programmes.france3.fr/pi...

[36] Pour percevoir ce phénomène il suffit d’observer le rôle important que le deuxième (politique étrangère et de sécurité commune) et surtout le troisième pilier (coopération dans le domaine de la justice et des affaires intérieures) du droit européen commencent à jouer dans ce contexte de flux transfrontières de données risquant de contourner le cadre juridique protecteur de la directive européenne du premier pilier et de priver entièrement le Parlement du droit d’intervenir dans le processus d’élaboration d’un accord international fondé sur les articles 24 et 38 TUE. Intervention de Monsieur Vassilios Skouris, Président de la CJCE, lors de la conférence inaugurale du cycle droit européen « l’espace européen de liberté, de sécurité et de justice » organisée le 29 janvier 2007 par la Cour de cassation

[37] Intervention du Professeur Jérôme Huet lors du colloque « Informatique : servitude ou libertés ? » organisé le 7 et 8 novembre 2005 au Sénat par la CNIL et l’Université Panthéon-Assas (actes du colloque disponibles depuis le 28 janvier 2007 sur le site du Sénat : www.senat.fr)